cisco防火墙试题.doc

cisco防火墙 班级08交大计网 姓名 张羽麒 学号08526027 得分_一单项选择题（10分，每题1分）1评估不同类型的NAT的顺序中级别最高的是（B ）A静态NAT BNAT豁免C静态PAT D策略NAT（static access-list）2可能会发生恶意主机打开连接进入受保护网络的情况。如果入站访问列表策略配置不正确或不够严格，就有可以发生这种情况。发现这种情况后可采取（ A ） 措施，A手动规避 BstopC立即修改access-list D强制转换3发送日志到Telnet的命令是（ D ）Alogging asdm Blogging historyClogging trap Dlogging monitor4默认情况下，所有以太网接口的最大传输单元（MTU）的大小均设置为（C ）A64 B2400C1500D12005使用（ C ）命令可以在防火墙上监视所有活跃的Telnet会话Ashow Bdir Cwho Dshow telnet6在PIX平台上，必须从( B )服务器上将密码恢复工具下载到防火墙。AHTTPS服务器 BTFTP服务器CFTP服务器 DHTTP服务器 7以下哪一种防火墙平台在故障切换中可以使用故障切换电缆（ C ）AASABFWSMCPIXD以上都不可以8启用故障切换处理进程的命令是（ C ）AfailoverBsetupCfailover upDfailover setup9日志消息的等级为（ A ）A0-15B.1-7C.1-15D.0-710输入一个新的许可证激活密钥的命令是（ B ）Asetup setup-key-tuplesB. setup-key setup-key-tuplesC. enter enter-key-tuplesD. activation-key activation-key-tuples二多项选择题（40分，每题2分）网络使用的IP流量的基本类型有（ ACD ）A单播 B多播C广播 D组播2在multiple-context安全模式下，防火墙由以下（ ABC ）功能组成。A系统执行空间B管理contextC用户context D用户执行空间3实现防火墙负载均衡的方法有如下几种（ ABC ）A.IOS FWLBBCSM FWLBCCSS FWLB Dserver FWLB4显示当前运行配置的命令有( AC )Awrite terminal Bdir Cshow running-config Dshow start-config5防火墙可以向任何管理用户显示文本标志，使用的标志有（ BCD ）A通告 B登录C执行D日期消息6可以将防火墙的用户分为以下为别（ ACD ）A管理级用户 B服务器用户 C终端用户 DVPN用户7防火墙可以通过以下( ABD )基本方法管理用户的接入A验证 B授权C加密 D 统计8 Cisco 防火墙使用以下（ CD ）基本原则提供安全策略和流量监测。239A加密数据 B建立连接 C地址转换 D访问控制 9对象组的类型有（ABCD）A网络对象组 B协议对象组C ICMP对象组 D基本服务对象组10防火墙故障切换有以下可能的形式（ ACD ）A主用/备用模式 B主用/主用模式CB/S模式 DA/B模式11在multiple-context安全模式下，防火墙由以下功能组成（ ABC ），每个功能都有各自的用户界面。 A系统执行空间 B管理contextC用户context D服务空间12在防火墙系统中设置系统时间的方法有（AC）A手工 B自动C使用网络时间协议 D自同步时间协议13对于日志以下说法正确的有（ CD ）A可以改变消息的严重级别 B可以修剪消息C从日志中可得到防火墙规则拒绝的连接信息D从日志中可得到防火墙规则允许的连接信息14使用show processes命令查看所有活跃防火墙的程序清单，显示的主要内容有（ ABCD ）。AID号 BCPU参数 C进程 D运行时间15防火墙内存可以被分块并分配给许多进程或用于其他用途，下列哪些项目可存储于防火墙内存中（ABCD）。AOS镜像 B配置文件C路由选择信息 D捕获会话16使用捕获会话可用到的命令有（ AB ）Aaccess-list B.captureCshow traffic Dconn17防火墙需要定期监控的项目有（ABCD）ACPU利用率 B故障切换活动Cconn表大小 D防火墙吞吐率18如果防火墙是正常负载且没有明显攻击，而CPU的的利用率一直处于80%以上，需考虑升级防火墙或减轻它的流量负载，可以考虑的措施有（BCD）A减少NAT数量 B用更高性能型号的防火墙来替换。C实施防火墙负载均衡。D修改配置，减少防火墙处理负载；除去任何非必要的执行行为。19在防火墙检测和传递流量时，它维护的表项有（BC） Alist B.xlate C.cons D.syslog20Cisco防火墙可以通过以下方法交换故障切换切换信息（ BCD） A第三层交换机 B故障切换电缆 C基于LAN的故障切换 D状态化故障切换三配置填空题（20分，每题10分）1说明：假设两个分别使用私有IP地址00和70的主机驻留在防火墙内部。要求从主机A发起的出站连接应根据该连接的目的地显示为不同的全局地址，如图所示，根据要求在括号中补充完成配置。pixfirewall(config-if)# access-list c10 permit ip host 00 pixfirewall(config)# （ dlobal (outside) 1 0 55 ）pixfirewall(config)# nat (inside) 1 access-list c10pixfirewall(config)# （ access-list c50 permit ip host 00 ）pixfirewall(config)# global (outside) 2 0 netmask 55pixfirewall(config)# nat (inside) 2 access-list c50pixfirewall(config)# （access-list c100 permit ip host 00 any）pixfirewall(config)# global (outside) 3 00 netmask 55pixfirewall(config)# （nat (inside) 3 access-list c100）2为防火墙配置日志设置，根据要求在括号内填写合适命令。1）指定NTP服务器地址为00，服务器连接在内部接口。PIXA(config)# （logging enable）2）启用日志信息，级别为6，发送到缓存。PIXA(config)#（logging list Mylist level errors）PIXA(config)#（logging console Mylist）3）建立一个日志策略，将所有错误消息和警告级别与IP（TCP/IP检测消息）有关的消息，发送到控制台。PIXA(config)# logging list Mylist level errorsPIXA(config)# logging list Mylist level warnings class ipPIXA(config)# （ogging class event_class destination leveldestination level destination level ）四应用题（每题15分,共30分）1将防火墙配置为使用具有2个RADIUS服务器的群组来执行管理级用户验证：本地验证用于支持单独用户ID，用户名admin，密码：adminpw。服务器为于内部接口，地址分别为8和9。这些服务器对连接到操作台端口TelnetSSH或基于Web的管理应用软件的用户验证。当所有的RADIUS服务器不可达时，启用本地验证。Aaa-server RADIUS_FARM protocol rdiusAaa-server RADIUS_FARM (inside) host 8 key server1keyAaa-server RADIUS_FARM (inside) host 9 key server2keyAaa authentication serial console RADIUS_FARM LOCALAaa authentication telnet RADIUS_FARM LOCALAaa authentication ssh RADIUS_FARM LOCALAaa authentication http RADIUS_FARM LOCALAaa authentication enable console RADIUS_FARM LOCALUsername admin password adminpw privilege 152根据拓扑图及图中地址说明，完成如下设置：内部网络1向外连接时转为地址池1和PAT1。内部网络2向外连接时转为地址池2和PAT2。对于其它网络，默认转换规则使用防火墙外部接口为动态PAT。当内部主机1向网络 192.168.200/24发起一个外部连接时，该地址不转换，配置NAT豁免。设置只能由指定的内部网络地址访问外部网，其它自已设置IP地址均拒绝对外连接。Firewall(config)#global (outside) 1 0-0 netmask Firewall(config)#global (outside )1 1Firewall(config)#nat (inside) 1 0 0Firewall(config)#global (outside) 2 5-25 netmask Firewall(config)#global (outside) 2 26Firewall(config)#nat (inside) 2 0 0Firewall(config)#global (outside ) 3 interfaceFirewall(config)#nat (inside) 3 0 0 0 0 Firewall(config)#access-list acl_no_nat permit ip host 1 Firewall(config)#nat (inside) 0 access-list acl_no_natFirewall(config)#access-list ac